ようやくアシアルに馴染んできました坂本です。 今回はWebアプリケーションのセキュリティのお話です。 Webアプリケーションのセキュリティと聞くとサーバサイドスクリプトの脆弱性と思われがちです。 年々攻撃手法は多様化しHTML5とJavascriptだけのWebアプリケーションでも脆弱性は発生します。 例としてありがちなリダイレクトページとその問題です。 リダイレクトの方法はいくつかありますが簡易的なものの一つにリダイレクト先のURLをハッシュパラメータ(#マーク以降のパラメータ)で渡し、Javascriptを使ってリダイレクトさせる方法があります。 下記が脆弱性を含むリダイレクトするコードです。 <script type="text/javascript"> var redirectUrl = decodeURIComponent(window.location.hash.slice(w